sqli-labs靶场的搭建与环境的安装

标签: web安全

sqli-labs介绍

很多时候新手在学习sql注入的时候,往往找不到合适的靶场进行练习操作。而sqli-labs就是一个适合新手去练习注入的一个专业的SQL注入练习平台,是一个印度程序员写的程序,用来学习sql注入的一个游戏教程。其中包含了各种各样的注入姿势,并适用于GET和POST等场景,包含了以**入:

1. 基于错误的注入(Union Select)
字符串
整数
2. 报错注入
3. 盲注(基于Bool数据类型注入、基于时间注入)
4. mysql 读写文件
5. 更新查询注入(update )
6. 插入查询注入(insert )
7. Header头部注入(基于Referer注入、基于UserAgent注入、基于cookie注入)
8. 二次注入
9. 绕过WAF
绕过黑名单\过滤器\剥离\注释剥离 OR&AND 剥离空格和注释剥离 UNION和SELECT
10. 绕过addslashes()函数
11. 绕过mysql_real_escape_string()函数(在特殊条件下)
12. 堆叠注入(堆查询注入)
等…

sqli-lab下载地址:

https://github.com/Audi-1/sqli-labs

web环境搭建:

在安装靶场之前,我们还需要搭建web运行环境:
这里直接使用phpstudy进行搭建,phpStudy是一个PHP调试环境的程序集成包。安装后一键启动即可运行web环境:下载地址
下载后安装即可。

sqli-lab靶场搭建:

将下载的sqli-lab压缩包解压到phpstudy的网站根目录中
在这里插入图片描述
在这里插入图片描述
接着修改数据库配置文件如下:
!](https://img-blog.csdnimg.cn/20200803204720279.png?x-oss-process=image/watermark,type_ZmFuZ3poZW5naGVpdGk,shadow_10,text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxXzM2NjE4OTE4,size_16,color_FFFFFF,t_70)

<?php

//give your mysql connection username n password

$dbuser ='root';

$dbpass ='root';

$dbname ="security";

$host = 'localhost';

$dbname1 = "challenges";
?>

因为phpstudy默认的mysql数据库地址是“127.0.0.1 或 localhost",用户名和密码都是"root"。这里主要是修改’$dbpass‘为root,即自己的数据库密码,默认为root,修改后自然是需要保存文件的,这个不用说相信大家也能知道。

接着浏览器打开“http://127.0.0.1/sqli-labs-master/”访问首页
在这里插入图片描述
点击“Setup/reset Database”使其自动创建数据库,创建表并填充数据。
在这里插入图片描述
安装成功后,这里是有75个part的。在这里插入图片描述
这样就可通过靶场的练习来更好的认识SQL注入漏洞和SQL注入的危害。

版权声明:本文为qq_36618918原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_36618918/article/details/107772254

智能推荐

CodeForce Tic-Tac-Toe

Two bears are playing tic-tac-toe via mail. It's boring for them to play usual tic-tac-toe game, so they are a playing modified version of this game. Here are its rules. The game is played on the foll...

Python雾里看花-抽象类ABC (abstract base class)

首先认识模块 abc,python中没有提供抽象类与抽象方法,然而提供了内置模块abc来模拟实现抽象类,例如提供泛映射类型的抽象类 abc.MutableMapping 继承abc.MutableMapping构造一个泛映射类型(类似python中的dict) 当然继承abc.Mapping 也可以,毕竟MutableMapping是其子类 dict是python中典型的映射类型数据结构,其接口的...

python 文件操作

2, with open (‘xx.txt’,‘w’,encoding=‘utf-8’) as f: f.write(‘文件内容或对象’)...

【Python基础】使用统计函数绘制简单图形

机器学习算法与自然语言处理出品 @公众号原创专栏作者 冯夏冲 学校 | 哈工大SCIR实验室在读博士生 2.1 函数bar 用于绘制柱状图 2.2 函数barh 用于绘制条形图 2.3 函数hist 用于绘制直方图 直方图与柱状图的区别 函数pie 用于绘制饼图 2.5 函数polor 用于绘制极线图 极线图是在极坐标系上绘出的一种图。在极坐标系中,要确定一个点,需要指明这个点距原点的角...

css:顶部按钮固定,上面内容滑动

这种需求我们平时见到很多的,实现方法也多的参差不齐,下面我说一种简单的。如图: 可以看到只有红线部分滚动,底下按钮是固定的。 代码...

猜你喜欢

环形公路堵车概率模型(含详细解析)

文章目录 基础理论 代码实现 图形分析 基础理论 路面上有n辆车,以不同的速度向前行驶, 模拟堵车问题。 有以下假设: 假设某辆车的当前速度是v。 若前方可见范围内没车,则它在下一秒的车速提高到v+1,直到达到规定的最高限速。 若前方有车,前车的距离为d,且d < v,则它下 一秒的车速降低到d-1 。 每辆车会以概率p随机减速v-1。、 代码实现 图形分析 图形中颜色越重的地方,说明很多车...

JavaScript事件处理的例题

知道的越多,所不知道的越多。如果带给你帮助,点赞支持一下。 JavaScript事件处理的例题 1、表单验证 2、验证数字输入 3、利用document对象的bgColor属性改变背景色,添加鼠标悬停事件 4.附加题(选做) 1、表单验证 要求:用户名不少于2位,并且用户名第一个字符需为字母! 密码长度必须在6~15之间。 2、验证数字输入 如果输入的值 x 不是数字或者小于 1 或者大于 10,...

arduino操作光照传感器BH1750(数字型,I2C接口)

BH1750传感器,用于检测环境光光照强度。 BH1750FVI是日本罗姆(ROHM)半导体生产的数字式环境光传感IC。其主要特性有: I2C数字接口,支持速率最大400Kbps 输出量为光照度(Illuminance) 测量范围1~65535 lux,分辨率最小到1lux 低功耗(Power down)功能 屏蔽50/60Hz市电频率引起的光照变化干扰 支持两个I2C地址,通过ADDR引脚选择 ...

10.31 数组算法学习-冒泡、选择、二分法

  冒泡排序:   冒泡排序 https://blog.csdn.net/kelinfeng16/article/details/84034386 原文地址:https://github.com/hustcc/JS-Sorting-Algorithm/blob/master/2.selectionSort.md 冒泡排序(Bubble Sort)也是一种简单直观的排序算法。它重...

排序算法5--交换排序2--快速排序(C++完整代码实现)

以上图片来自天勤数据结构,以下代码***非天勤数据结构提供的代码;*** 平均时间复杂度O(nlog2n)...